一项研究显示G Suite Marketplace上的应用程序,可能通过API访问过多企业信息,包括Drive、行程表及Gmail,可能重演脸书的剑桥分析事件。
G Suite用户除了Google提供的企业应用程序外,还可从G Suite Marketplace下载第三方企业用App,有些安装量高达数百万,这些程序通过Google API集成G Suite。为了了解这些应用程序要求的API访问权限,安全厂商Two Six Labs研究人员Irwin Reyes and Michael,今年1月针对G Suite Marketplace上的987个网页应用程序进行分析。
他们发现987个Marketplace App中,50%会在Google应用程序内,以通知或边栏执行显示Web内容;49%(481个)连到外部服务。此外,27%可以读取或删改Google Drive试算表;25%在用户未上线时执行应用程序;20%还可以读取、添加、删改Google Drive文件。
研究人员进一步分析连到外部服务的App,其中超过20%可完整访问Google Drive,17%可在以插件形式执行时读取Gmail资料,3%可完整访问联系人信息。
相对于这些App轻易访问用户资料,然而G Suite Marketplace却未清楚告知用户什么外部服务App访问其资料,以及分享了哪些资料,用户仅能依赖App的主动披露。
Google政策规定,外部App访问Gmail和Drive资料被列为敏感访问,需要Google验证,而未验证的App最多只能有100名新用户安装,因此本研究查看的另一个议题是,Google是否有确实执行这个政策的安装数量。
经过分析,研究显示277个“未验证”G Suite Marketplace Apps中,有124个在16天后还可以安装,而且有24个即使未验证,还是有超过100名新用户安装,其中一个在16天增加近万用户,并有另一个App不但5个月下来未完成验证,却还可以拥有Gmail、Drive和联系人资料的完整访问权限,显示Google未落实安全策略。这也会使脸书平台上第三方App访问用户信息的剑桥分析事件,可能在G Suite上重现。
研究人员指出,G Suite第三方API滥用原因之一在于使用安装时访问许可(install-time permission),即安装当下就取得了访问许可。他们建议Google可以改用,目前手机应用程序普遍采用的执行时访问许可(run-time permission),脸书也是在剑桥分析案后,借此改善了API滥用问题。